De beveiliging van het momenteel meest populaire contentmanagementsysteem WordPress kan aanzienlijk worden verhoogd door twee kleine schroeven te draaien. Het duurt slechts 5 minuten en twee regels code. Hoewel het probleem kan worden opgelost met een verscheidenheid aan plug-ins, beperk ik me bewust tot plug-in-vrije oplossingen.
Enerzijds onthult de metatag
<meta content="WordPress 3.4.1" name="generator" />
de laatste versie en kan gemakkelijk worden afgelezen met een krabber. Als er een kritiek beveiligingslek is ontstaan voor een speciale WordPress-versie, is het met precies deze versie gemakkelijk om duizenden websites op te sporen. Daarom moet u de informatie verwijderen met de volgende haak:
remove_action('wp_head', 'wp_generator');
Een tweede probleem is de spraakzaamheid van het dashboard: als je wilt inloggen, wordt er indirect informatie gegeven over het al dan niet bestaan van de gebruikersnaam. De foutmeldingen kunnen eenvoudig worden gebruikt met geschikte programma's om de kans op een treffer met een brute force-aanval te vergroten. Daarom moet u hier ook actie ondernemen en de volgende haak erin steken:
add_filter('login_errors','__return_null');
De genoemde maatregelen verhogen de veiligheid van uw eigen blog en zijn bovendien eenvoudig te implementeren. WordPress wordt in zijn standaardconfiguratie als veilig beschouwd, maar het wijdverbreide gebruik en de populariteit betekenen dat het herhaaldelijk het doelwit is van potentiële hackers.